Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ocsp.thawte.com probleem (relatie xs4all DDoS?)

18-04-2012, 00:06 door Erik van Straten, 7 reacties

Ik heb problemen met https sites die thawte certificaten gebruiken: ik heb in Firefox namelijk ingesteld staan dat als OCSP checks niet werken, de verbinding moet worden geweigerd. Als ik die eis weghaal duurt het nog steeds meerdere seconden voordat bijv. https://www.google.com/ en https://secure.security.nl/ openen.

Nu ben ik xs4all klant, maar ik vraag me af of de problemen die ik zie iets te maken hebben met de DDoS aanvallen op xs4all van vandaag.

De primaire oorzaak van het probleem [i]lijkt[/i] dat ocsp.thawte.com niet resolved (maar verder alles wat ik check wel): [code]C:\>nslookup ocsp.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66

DNS request timed out.
timeout was 2 seconds.
*** resolver.xs4all.nl can't find ocsp.thawte.com: Server failed

C:\>nslookup www.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66

Non-authoritative answer:
Name: www-thawte-ilg.verisign.net
Address: 69.58.181.130
Aliases: www.thawte.com[/code] (sorry voor de lege regels ertussen, oorzaak is een security.nl bug bij "code" regels in het bovenste bericht).

Interessant is dat USA DNS servers (nog/al) wel werken: zie bijv. [url]http://network-tools.com/default.asp?prog=lookup&host=ocsp.thawte.com[/url] of vul ocsp.thawte.com in op [url]http://www.geektools.com/digtool.php[/url]. Het lijkt dus een xs4all DNS probleem.

Echter, als ik 1 van de IP adressen van ocsp.thawte.com in m'n hosts file opneem werkt het nog steeds niet!

Nb. ocsp.thawte.com heeft meerdere adressen, zie bijv. message 3 in [url]http://community.arubanetworks.com/t5/ArubaOS-and-Controllers/OCSP-on-Firefox/td-p/11129[/url]. Ik heb "199.7.50.72 ocsp.thawte.com" en "199.7.55.72 ocsp.thawte.com" geprobeerd.

Hoe dan ook, het is een zeer onbevredigende situatie dat OCSP van thawte niet werkt!

Zien jullie (bij andere ISP's of ook bij xs4all.nl) dit ook? Heeft iemand een verklaring?

Hoe lang duurt een RaboMobiel session?

Waar kunnen zich hardware keyloggers bevinden in een laptop?

Reacties (7)

18-04-2012, 08:52 door Anoniem

Beetje off-topic:
Behalve dat als mogelijke aanvallers de OCSP server platleggen, Firefox met standaard instellingen dus geen waarschuwing geeft, is er nog een zwakte-punt.
Als ik de uitleg in het Firefox OCSP-menu goed begrijp wordt een certificaat via OCSP gevalideerd via een door het certificaat gespecificeerde OCSP server, ALS er 1 wordt gespecificeerd. Dus als een website is gehacked of er een Man-in-the-Middle aanval word uitgevoerd kunnen de aanvallers in hun valse certificaat gewoon geen OCSP server specificeren of een eigen server opgeven. Het is in Firefox iig wel mogelijk om zelf een OCSP server te specificeren die alle certificaten moet valideren.

18-04-2012, 11:09 door dutchfish

Geen problemen op dit moment wo 18 apr 11:09

monitor:~# dig -t A ocsp.thawte.com

; <<>> DiG 9.6-ESV-R4 <<>> -t A ocsp.thawte.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15175
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ocsp.thawte.com. IN A

;; ANSWER SECTION:
ocsp.thawte.com. 334 IN CNAME ocsp.verisign.net.
ocsp.verisign.net. 1 IN A 199.7.55.72

;; Query time: 33 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Apr 18 11:08:10 2012
;; MSG SIZE rcvd: 80

monitor:~#

18-04-2012, 16:22 door Anoniem

Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?

18-04-2012, 18:13 door Erik van Straten

Dank voor de reacties!

Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.

Door Anoniem: Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?

Het probleem dat ik ondervond was niet alleen DNS, met o.a. "199.7.50.72 ocsp.thawte.com" kreeg ik ook geen OCSP antwoord. Ook zeer vreemd was dat bijv. wel DNS antwoorden kreeg voor www.thawte.com, alleen niet voor ocsp.thawte.com. Dat is niet echt logisch.

Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.

18-04-2012, 19:19 door Anoniem

Probeer in nslookuo gebruik te maken van andere dns server:

nslookup

> server 4.2.2.4
Default Server: [4.2.2.4]
Address: 4.2.2.4

> ocsp.thawte.com
Server: [4.2.2.4]
Address: 4.2.2.4

Non-authoritative answer:
Name: ocsp.verisign.net
Address: 199.7.50.72
Aliases: ocsp.thawte.com

>

18-04-2012, 19:36 door Anoniem

Door Erik van Straten: Dank voor de reacties!

Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.

Door Anoniem: Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?

In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.

Het is inmiddels gefixed.
(@dutchfish : je zegt er niet bij of je het ook vanuit het xs4all netwerk probeerde)

19-04-2012, 11:00 door Erik van Straten

Door Anoniem op 18 april om 19:36: In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.

Ah, thanks!

En wellicht zaten 199.7.50.72 en 199.7.55.72 ook in de buurt van de DDoSers, dat zou verklaren waarom ik met een van die adressen gevolgd door "ocsp.thawte.com" in m'n hosts file vanaf m'n xs4all account ook niet kon bereiken.

Door Anoniem op 18 april om 19:19: Probeer in nslookup gebruik te maken van andere dns server:

Dat heb ik natuurlijk gedaan, maar zoals ik schreef bleek DNS niet het enige probleem: in elk geval twee aan ocsp.thawte.com toegewezen IP adressen waren gewoon niet bereikbaar via xs4all.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

ocsp.thawte.com probleem (relatie xs4all DDoS?)

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren